Web3 攻擊在 $4B 年來襲：NFT、DeFi 和加密貨幣必須學習的內容 | NFT 今日新聞

Web3 hacks in 2025 reached an uncomfortable milestone. Almost $4 billion was lost across crypto, NFTs, and DeFi due to security failures, scams, and plain human error. The figure comes from the 2025 Yearly Security Report published by Hacken, and it paints a picture the industry can’t ignore.

This wasn’t a year defined by obscure bugs hiding in experimental code. Most of the damage came from weak access controls, stolen credentials, and social engineering. In other words, the same problems security teams have warned about for years—now playing out at a much larger scale.

If you hold NFTs, trade on centralized exchanges, or build in Web3, the lessons from 2025 matter more than ever.

一 $4 億美元的Web3現實檢查

Hacken的報告將2025年的總損失定義為$4 億美元。這個數字包括交易所被攻破、釣魚詐騙、錢包被盜、拉高出貨（rug pulls）以及協議漏洞。

其他公司，如CertiK和Chainalysis，根據他們的歸因模型估算的總額較低——在$2.5B到$3.2B之間。然而，所有主要來源都一致認為，2025年攻擊的規模和複雜度都出現了激增。

令人矚目的不僅是損失的規模，而是來自哪裡。

早期的加密貨幣周期主要由智能合約錯誤主導。到了2025年，局勢轉變。運營失誤和社會工程攻擊造成的損害超過了代碼漏洞。隨著更多資金流入Web3，攻擊者跟隨資金——專注於最容易入手的路徑。

對NFT用戶來說，這一轉變徹底改變了風險輪廓。如果合約完美無瑕，但錢包授權或簽名請求被濫用，仍然可能遭受損失。

年度展開

第一季 改變一切

今年開局不佳。到第一季度末，已經損失超過$2 億美元。這使得第一季成為有史以來Web3安全最糟糕的季度。

最大推手是Bybit的資料外洩事件。攻擊者並未利用智能合約漏洞，而是破壞供應鏈並篡改前端基礎設施。這提醒我們，區塊鏈安全不僅止於鏈本身。

事件之後，安全假設迅速轉變。

進展放緩，但威脅未減

全年剩餘時間，損失逐步下降。到第四季，該季度的總損失約為$350 百萬美元。這一下降反映出更好的意識和更快的反應速度。

然而，早期的損失無法挽回。攻擊者調整策略，而非退縮。攻擊次數減少，但影響更大。

損失資金的來源

訪問控制是最大失誤

2025年超過一半的損失來自訪問控制問題。私鑰被盜、多簽錢包配置錯誤、內部憑證濫用或洩露。

這些問題大多不需要尖端技術漏洞。在大多數情況下，攻擊者只是獲得了不該擁有的存取權。

Hacken的數據顯示，$2.12億——佔所有損失的53%——源自訪問控制失誤，成為2025年加密貨幣盜竊的主要原因。

一個關鍵見解：多簽錢包在簽署者使用日常設備時變得脆弱。UXLINK漏洞導致被攻擊的簽署者鑄造出數萬億代幣，抽走資產，並在市場上拋售。

這點令人不舒服，但也很有用。這些都是團隊可以用更好的流程解決的問題。

釣魚攻擊變得更難辨識

釣魚和社會工程攻擊造成的損失接近$1 億美元。錢包中毒、假支援訊息和冒充詐騙持續演進。

AI讓這些攻擊更具說服力。假面試、深偽視頻通話、看起來像是真實項目發出的訊息。

一名用戶在一次交易中損失$50 百萬美元，原因是地址中毒——誤將騙子錢包當作熟悉的錢包。另一名用戶在長期社會工程攻擊中損失$330 百萬美元的比特幣。

NFT交易者經常成為目標，尤其是在Discord和Telegram社群中活躍的用戶。

智能合約漏洞未曾消失

合約漏洞仍造成損失，約合$512 百萬美元。DeFi協議承受了大部分攻擊，基於以太坊的項目受損最嚴重。

著名的漏洞包括：Balancer v2 ($128M 通過四捨五入錯誤)、GMX v1 ($42M 通過重入漏洞)、Yearn yETH ($9M 通過無限鑄造)。

審計有助於降低頻率，但邊界情況和整合仍然存在風險。代碼安全有所提升，但單靠這些還不夠。

交易所與DeFi：不同的弱點

集中式平台遭受最大打擊

集中式交易所佔所有損失的一半以上。最明顯的案例是Bybit，攻擊者利用前端存取而非區塊鏈邏輯。

托管集中風險。內部工具、第三方供應商和員工存取都擴大了攻擊面。一旦出問題，數字就會迅速擴大。

DeFi和NFT基礎設施仍然暴露

DeFi漏洞在數十起事件中損失超過$500 百萬美元。流動性抽走、橋接失敗和數學錯誤層出不窮。

以太坊是最主要的攻擊鏈，主要原因是那裡的活動最為頻繁。NFT平台經常與DeFi協議共享錢包、權限或後端服務，這使得風險容易溢出。

北韓角色急劇上升

2025年最明顯的模式之一是國家相關攻擊者。與北韓相關的團體負責約52%的總損失，年內盜取超過$2 億美元。

事實上，10起訪問控制攻擊中有9起都追溯到DPRK團體，使用假招聘官、含有惡意軟體的GitHub倉庫和深偽面試等策略。

調查人員將大部分活動與Lazarus集團和TraderTraitor集群相關聯。他們的手法主要是釣魚、冒充和內部存取，而非技術漏洞。

與2024年相比，這些團體盜取的資金增加了50%以上。規模和協調性尤為突出。

為何NFT持有者感受到衝擊

NFT的金額並非最大，但收藏者卻是重點攻擊對象。假鑄鏈接、惡意授權、冒充項目管理員的Discord帳號。

一旦錢包被攻破，NFT會立即轉移。沒有回滾機制。市場許可權常在用戶忘記後仍然保持激活。

對NFT安全來說，錢包習慣與平台安全同樣重要。

AI改變了安全格局

2025年，AI在雙方都扮演了角色。

攻擊者利用自動化、深偽媒體和適應性訊息擴大詐騙規模。防禦者則用更好的監控、異常偵測和更快的事件處理來應對。

像Immunefi這樣的漏洞賞金平台幫助早期發現問題，證明激勵措施仍然重要。

攻防之間的差距沒有縮小，而是轉移了。

監管開始追趕

主要法域的安全預期趨於收緊。

在美國，許可制度越來越要求滲透測試和硬體安全的密鑰管理。在歐洲，MiCA強調托管隔離和獨立審計。

這些規則不會完全杜絕漏洞，但確實提高了基準，讓走捷徑變得更困難。

未來真正有幫助的措施

對用戶而言：
硬體錢包降低暴露風險。專用設備更佳。地址簿和交易預覽能防止常見錯誤。

對NFT和Web3團隊：
一次審計不足夠。多層次審查能捕捉更多問題。多簽和MPC設置降低單點故障。上線後仍需持續監控。

對行業：
建立明確標準提升信心。安全成熟度現在影響採用和資金流。

一個昂貴的年份，但也是明確的信號

2025年Web3 hacks損失的$4 億美元反映出在壓力下的成長。攻擊者完善了策略。防禦者公開學習。透明度暴露了弱點，也促使改進。

安全已成為信譽的象徵。對NFT、DeFi和整個加密行業來說，下一階段更依賴紀律而非速度。

常見問題

以下是關於此主題的一些常見問題：

1. 2025年Web3 hacks損失了多少錢？

Hacken報告總損失為$4.004億美元。其他公司如CertiK和Chainalysis根據方法不同，估算在$2.5B–$3.2B之間。

2. 2025年最大的加密損失來源是什麼？

主要來自訪問控制失誤(53%)，其次是釣魚(24%)和智能合約漏洞(13%)。

3. 北韓真的負責大部分Web3黑客事件嗎？

是的。與北韓相關的團體負責約52%的損失，經常使用釣魚和社會工程策略。

4. 智能合約審計仍有效嗎？

審計有助於降低風險，但並非萬無一失。2025年的許多漏洞發生在已審計或經過實戰測試的協議中，因為忽略了邊界情況。

5. AI如何影響2025年的Web3安全？

AI在防禦和攻擊兩方面都被利用。防禦方面用於監控和異常偵測，攻擊方面用於深偽、詐騙自動化，帶來提示注入等新風險。

( 6. 用戶可以做些什麼來保護資產？

使用硬體錢包，避免簽署未知交易，驗證地址，並養成嚴格的數位衛生習慣，尤其在社交平台上。